资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,信息平安等级测评师培训,应用系统平安测评,1,内容目录,背景介绍,应用测评的特点和方法,主 要 测 评 内 容,结果整理和分析,2,应用平安的形势一,开发商和用户对应用平安重视程度不够,开发商平安意识普遍淡薄,开发中留有平安隐患,用户普遍对应用平安不重视,系统上线前把关不严,应用系统存在的漏洞较多,3,NIST的报告显示,超过90%的平安漏洞是应用层漏洞,它已经远远超过网络、操作系统和浏览器的漏洞数量,这个比例还有上升的趋势。,3,应用平安的形势二,针对应用系统的攻击手段越来越多,面临的威胁在不断增大,针对口令的攻击,如口令破解等,非授权获取敏感信息,如信息窃听、系统管理员非授权获取敏感业务数据如用户的密码等信息等,针对WEB应用的攻击,如跨站脚本攻击、SQL注入、缓冲区溢出、拒绝效劳攻击、改变网页内容等,4,4,指标选取,在?根本要求?中的位置,数据库平安是主机平安的,一个局部,数据库的测评,指标是从“主机平安和,“数据平安及备份恢复,中根据数据库的特点映射,得到的。,5,应用系统的指标选取,在?根本要求?中的位置,“应用平安的所有指标,对于应用平台软件等那么从中选择局部指标;,“数据平安及备份恢复中的局部指标,对于三级信息系统,在应用平安中,主要检查“数据完整性、“数据保密性和“备份和恢复第一和第二项;,应结合管理的要求,如“应根据开发需求检测软件质量、“应要求开发单位提供软件源代码,并审查软件中可能存在的后门,加强应用系统的源代码平安性。,6,6,内容目录,背景介绍,应用测评的特点和方法,主 要 测 评 内 容,结果整理和分析,7,应用测评的特点,平安功能和配置检查并重,和数据库、操作系统等成熟产品不同,应用系统现场测评除检查平安配置外,还需验证相关平安功能是否正确,应用测评中不确定因素较多,业务和数据流程不同,需根据业务和数据特点确定范围,应用系统平安漏洞发现困难,很难消除代码级的平安隐患,测评范围较广,分析较为困难,应用系统测评包括应用平台如IIS等的测评,且和其他层面关联较大,8,应用测评的方法1,通过访谈,了解平安措施的实施情况,9,和其他成熟产品不同,应用系统只有在充分了解其部署情况后,才能明确测评的范围和对象,分析其系统的脆弱性和面临的主要平安威胁,有针对性的进行检查和测试。-右图是一个 支付系统的流程示意图,通过网页和 可以完成冲值、查询等业务。,9,应用测评的方法2,通过检查,查看其是否进行了正确的配置,有的平安功能如口令长度限制、错误登录尝试次数等需要在应用系统上进行配置,那么查看其是否进行了正确的配置,与平安策略是否一致。,无需进行配置的,那么应查看其部署情况是否与访谈一致。,如果条件允许,需进行测试,可通过测试验证平安功能是否正确,配置是否生效。,代码级的平安漏洞在现场查验比较困难,那么可进行漏洞扫描和渗透测试。,10,10,内容目录,背景介绍,应用测评的特点和方法,主 要 测 评 内 容,结果整理和分析,11,身份鉴别,要求项一,应提供专用的登录控制模块对登录用户进行身份标识和鉴别;,应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;,应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;,12,12,身份鉴别,要求项二,应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;,应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据平安策略配置相关参数。,13,13,身份鉴别,条款理解,提供专用的登录控制模块对用户身份的合法性进行核实,只有通过验证的用户才能在系统规定的权限内进行操作,这是防止非法入侵最根本的一种保护措施;,三级或三级以上系统要求必须提供两种两次口令鉴别不属于这种情况或两种以上组合的鉴别技术进行身份鉴别口令+CA证书,在身份鉴别强度上有了更大的提高;,14,14,身份鉴别,条款理解,为每一个登录用户提供唯一的标识,这样应用系统就能对每一个用户的行为进行审计;同时,为了增加非授权用户使用暴力猜测等手段破解用户鉴别信息的难度,应保证用户的鉴别信息具有一定的复杂性,如用户的密码的长度至少为8位、密码是字母和数字的组合等;,应用系统应提供登录失败处理功能,如限制非法登录次数等,登录失败次数应能根据用户根据实际情况进行调整;,另外,要求应用启用这些功能,并配置不许的参数。,15,15,身份鉴别,检查方法,询问系统管理员,了解身份鉴别措施的部署和实施情况。,根据了解的情况,检查应用系统是否按照策略要求进行了相应的配置,在条件允许的情况下,验证功能包括应用口令暴力破解等测试手段是否正确。-测试应用系统如首先以正确的密码登录系统,然后再以错误的密码重新登录,查看是否成功,验证其登录控制模块功能是否正确;扫描应用系统,检查应用系统是否存在弱口令和空口令用户;用暴力破解工具对口令进行破解。,16,16,访问控制,要求项一,应提供访问控制功能,依据平安策略控制用户对文件、数据库表等客体的访问;,访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;,应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;,17,17,访问控制,要求项二,应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;,应具有对重要信息资源设置敏感标记的功能;,应依据平安策略严格控制用户对有敏感标记重要信息资源的操作。,18,18,访问控制,条款理解,三级系统要求访问控制的粒度到达文件、数据库表级,权限之间具有制约关系如三权别离,并利用敏感标记控制用户对重要信息资源的操作;,在应用系统中应严格限制默认用户的访问权限,默认用户一般指应用系统的公共帐户或测试帐户;,应用系统授予帐户所承担任务所需的最小权限,如领导只需进行查询操作,那么无需为其分配业务操作权限;同时,该项要求明确规定应在不同帐户之间形成相互制约关系;,19,19,访问控制,条款理解,敏感标记表示主体/客体平安级别和平安范畴的一组信息,通过比较标记来控制是否允许主体对客体的访问,标记不允许其他用户进行修改,包括资源的拥有者,在可信计算基中把敏感标记作为强制访问控制决策的依据;在三级系统中,要求应用系统应提供设置敏感标记的功能,通过敏感标记控制用户对重要信息资源的访问。,20,20,访问控制,检查方法,询问系统管理员,了解访问控制措施的部署和实施情况。,根据了解的情况,检查应用系统是否按照策略要求进行了相应的配置,在条件允许的情况下,验证功能是否正确。-以管理员身份进行审计操作,查看是否成功;以审计员身份进行删除/增加用户、设定用户权限的操作也可进行一些其他管理员进行的操作,查看是否成功。,21,21,平安审计,要求项,应提供覆盖到每个用户的平安审计功能,对应用系统重要平安事件进行审计;,应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;,审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;,应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。,22,22,平安审计,条款理解,三级系统强调对每个用户的重要操作进行审计,重要操作一般包括登录/退出、改变访问控制策略、增加/删除用户、改变用户权限和增加/删除/查询数据等;,应用系统应对审计进程或功能进行保护,如果处理审计的事务是一个单独的进程,那么应用系统应对审计进程进行保护,不允许非授权用户对进城进行中断;如果审计是一个独立的功能,那么应用系统应防止非授权用户关闭审计功能;另外,应用系统应对审计记录进行保护。,23,23,平安审计,检查方法,询问系统管理员,了解平安审计措施的部署和实施情况。,重点检查应用系统是否对每个用户的重要操作进行了审计,同时可通过进行一些操作如用户登录/退出、改变访问控制策略、增加/删除用户、改变用户权限和增加/删除/查询数据等,查看应用系统是否进行了正确的审计。,24,24,剩余信息保护,要求项,应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全去除,无论这些信息是存放在硬盘上还是在内存中;,应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全去除。,25,25,剩余信息保护,条款理解,该项要求是为了防止某个用户非授权获取其他用户的鉴别信息、文件、目录和数据库记录等资源,应用系统应加强内存和其他资源管理。,检查方法,询问系统管理员,了解剩余信息保护方面采取的措施。,根据了解的情况,测试其采取的措施是否有效,如以某个用户进行操作,操作完成退出系统后系统是否保存有未被删除的文件等。,26,26,通信完整性,要求项,应采用密码技术保证通信过程中数据的完整性。,27,27,通信完整性,条款理解,该项要求强调采取密码技术来保证通信过程中的数据完整性,普通加密技术无法保证密件在传输过程中不被替换,还需利用Hash函数如MD5、SHA和MAC用于完整性校验,但不能利用CRC生成的校验码来进行完整性校验。,检查方法,询问系统管理员,了解通信完整性方面采取的措施。,可通过查看文档或源代码等方法来验证措施是否落实;如果条件允许,那么可设计测试用例进行测试。,28,28,通信保密性,要求项,在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;,应对通信过程中的,整个报文或会话过程,进行加密。,29,29,通信保密性,条款理解,该项要求强调整个报文或会话过程进行加密,同时,如果在加密隧道建立之前需要传递密码等信息,那么应采取密码技术来保证这些信息的平安。,检查方法,询问系统管理员,了解通信保密性方面采取的措施。,可通过抓包工具如Sniffer pro获取通信双方的内容,查看系统是否对通信双方的内容进行了加密。,30,30,抗抵赖,要求项,应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能;,应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。,31,31,抗抵赖,条款理解,该项要求强调应用系统提供抗抵赖措施如数字签名、流水记录、日志等,从而保证发送和接收方都是真实存在的用户。,检查方法,询问系统管理员,了解抗抵赖方面采取的措施。,可通过查看文档或源代码等方法来验证措施是否落实。,条件允许,可进行测试,如通过双方进行通信,查看系统是否能提供在请求的情况下为数据原发者提供原发证据。,32,32,软件容错,要求项,应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;,应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。,33,33,软件容错,条款理解,为了防止SQL注入等攻击,软件应对用户输入数据的长度和格式等
展开阅读全文